自2019年2月的RSA大會以來，有關(guān)擴(kuò)展檢測與響應(yīng)平臺(eXtended Detection and Response, XDR)的討論開始升溫，而2020年隨著疫情和網(wǎng)絡(luò)威脅帶來的新變化，XDR的熱度有望在未來數(shù)年內(nèi)持續(xù)上升。那么為什么安全專家需要關(guān)注XDR，原因在于XDR有能力在簡化安全操作的同時(shí)加快威脅檢測/響應(yīng)的速度。

[[395521]]

說到安全運(yùn)作和分析平臺架構(gòu)(security operations and analytics platform architecture，SOAPA)，其設(shè)計(jì)初衷是作為一種可互操作的安全運(yùn)作技術(shù)架構(gòu)，使用API、消息總線、供應(yīng)商共同開發(fā)以及自定義編碼作為一種集成手段。而XDR的愿景是它將提供“開箱即用”的SOAPA。大型企業(yè)組織仍將使用其他專門的安全運(yùn)營技術(shù)，例如威脅情報(bào)平臺(TIP)以及安全編排與自動化響應(yīng)平臺(SOAR)，但是XDR將與這些系統(tǒng)集成，同時(shí)充當(dāng)安全運(yùn)營的中心樞紐。

XDR會顛覆市場走向嗎?

從理論上講，XDR可以推動良好的安全運(yùn)營進(jìn)程，但是可能還不足以給網(wǎng)絡(luò)防御者帶來好處。原因之一在于，鑒于攻擊面不斷擴(kuò)大、安全數(shù)據(jù)大量激增以及日趨嚴(yán)峻的威脅形勢等方面的綜合影響，安全運(yùn)營正變得越來越復(fù)雜。XDR供應(yīng)商意識到了這一點(diǎn)，但他們現(xiàn)在還正在與這種復(fù)雜性進(jìn)行艱苦的戰(zhàn)斗。

正如同，只有讓火箭科學(xué)變得更容易才能夠切實(shí)地幫助加速太空探索，但目前它仍然只是難以實(shí)踐的火箭科學(xué)，迫切需要火箭科學(xué)家。同樣地，在消除復(fù)雜性之前，XDR還不足以為推動安全運(yùn)營工作做出任何現(xiàn)實(shí)貢獻(xiàn)，迫切需要相關(guān)網(wǎng)絡(luò)安全人才的參與。

然而，全球網(wǎng)絡(luò)安全技能短缺的現(xiàn)狀并未得到任何改善。根據(jù)ESG和信息系統(tǒng)安全協(xié)會的研究顯示，70%的網(wǎng)絡(luò)安全專家表示，他們的組織受到網(wǎng)絡(luò)安全技能短缺的影響，導(dǎo)致網(wǎng)絡(luò)安全人員的工作量增加。此外，有29%的組織聲稱其最大的網(wǎng)絡(luò)安全技能缺口在于安全分析和調(diào)查領(lǐng)域。不管是否進(jìn)行XDR，我們?nèi)匀恍枰炀毜膶I(yè)人員來進(jìn)行威脅檢測和響應(yīng)，而現(xiàn)在這些人員仍然嚴(yán)重不足。

MDR現(xiàn)狀

這些普遍存在的問題正在促使大型和小型企業(yè)越來越多的使用托管檢測和響應(yīng)服務(wù)(Managed Detection and Response Services , MDR)。例如，ESG的最新研究發(fā)現(xiàn)，35%的組織已經(jīng)在使用MDR服務(wù)，38%的組織正在積極參與采用MDR服務(wù)的項(xiàng)目，15%的組織計(jì)劃采用MDR服務(wù)，以及6%的組織對未來采用MDR服務(wù)感興趣。

有些組織將威脅檢測和對第三方的響應(yīng)項(xiàng)目外包出去，有些組織需要對其安全運(yùn)營中心(SOC，運(yùn)行時(shí)間為每周5天/每天8小時(shí))進(jìn)行非工作時(shí)間支持，還有一些組織需要一位專家專門支持SOC員工，以幫助他們完成取證調(diào)查和威脅捕獲之類的復(fù)雜任務(wù)。這里的關(guān)鍵在于，MDR服務(wù)提供高級技能，而且52%的組織也相信MDR服務(wù)提供商可以比他們更好地完成威脅檢測和響應(yīng)任務(wù)。

對于MDR服務(wù)的研究數(shù)據(jù)主要得出了下述結(jié)論：

1. XDR必須包含MDR。

僅僅XDR技術(shù)是不夠的。XDR供應(yīng)商必須擁有自己的服務(wù)或需要與托管安全服務(wù)提供商(MSSP)合作，從而可以為其產(chǎn)品增加專業(yè)知識和價(jià)值。提供XDR和MDR服務(wù)集成產(chǎn)品組合的CrowdStrike、FireEye、Secureworks以及趨勢科技等供應(yīng)商目前正處于最前沿位置。

2. 純MDR供應(yīng)商將是XDR最大的競爭對手。

如果說我付錢請別人來割草，我真的不在乎他們用的是哪種割草機(jī)。相反地，我只關(guān)心結(jié)果——每周修剪一次草坪。同樣地，CISO采購諸如XDR之類的安全技術(shù)，也是為了實(shí)現(xiàn)其目的——最佳的網(wǎng)路威脅檢測和響應(yīng)。隨著組織對服務(wù)的依賴性增加，MDR供應(yīng)商可能會成功采用自己的自主技術(shù)+服務(wù)解決方案來推廣XDR技術(shù)。如果他們能夠提供持續(xù)改進(jìn)的威脅檢測和響應(yīng)結(jié)果，那么誰還會在乎他們是如何做到的呢?

3. MDR供應(yīng)商將根據(jù)專業(yè)來區(qū)分自己。

由于所有MDR供應(yīng)商都提供相同的基本服務(wù)，因此想要占領(lǐng)市場就必須在利基安全運(yùn)營領(lǐng)域表現(xiàn)出色，例如威脅情報(bào)、事件響應(yīng)或支持IoT和OT。其他供應(yīng)商將建立垂直行業(yè)的專業(yè)能力，以專注于醫(yī)療保健臨床系統(tǒng)、自動駕駛汽車或在線商務(wù)應(yīng)用程序等方面的威脅(可能會與反欺詐服務(wù)相結(jié)合)。

4. 安全運(yùn)營人才的競爭加劇。

無論如何，都可能會發(fā)生這種情況，但是XDR的出現(xiàn)以及MDR需求的增長將加劇網(wǎng)絡(luò)安全技能的短缺和薪資的上漲。

XDR供應(yīng)商堅(jiān)定地相信，該技術(shù)可能會改變安全運(yùn)營。確實(shí)存在這種可能，但是XDR的成功似乎仍然需要基于人類的專業(yè)技能，這使得XDR需要依賴MDR并且容易受到MDR的影響。根據(jù)ESG的研究指出，能夠獲取最終勝利的將是最好的服務(wù)，而不是最好的安全技術(shù)小部件。